IEEE 802.1X
IEEE 802.1Xとは,LANTiếp 続 khi に sử dụng するChứng thựcQuy cách ( chứng thựcVLAN) である. Tiếp 続を nhận めた đoan mạt máy móc bên ngoài がコンピュータネットワークに tham gia しないように chứng thực によって tiếp 続を quy chế する. Có tuyến と vô tuyến の tiếp 続に sử dụng できる kiểm dịch ネットワーク のデータリンク tầngの kỹ thuật である.
IEEE 802.1Xを sử った chứng thực システムは, dưới の も の から cấu thành される.
- サプリカント( Supplicant ) -Chứng thựcクライアント・ソフトウェア. Tiếp 続しようとするパソコンThượng で tất yếu である.
- オーセンティケータ- 802.1Xに đối ứng したLANスイッチ.
- Chứng thực サーバ-Chứng thựcを phán đoán するサーバ.RADIUSまたはDIAMETERChứng thực サーバなど.
Bổn hạng mục ではレイヤ2スイッチやインテリジェント・ハブ, LANスイッチと hô ばれているネットワーク máy móc を “LANスイッチ” と hô ぶ. また, 802.1Xに đối ứng したLANスイッチを “Chứng thực LANスイッチ” と, サプリカント・ソフトウェアを bị えたクライアントPCを “サプリカントPC” と hô ぶ.
IEEE 802.1XはEthernetの chứng thực である の に đối して, RADIUSはIPTrở lên で の chứng thực であり, これらは lẫn lộn されやすいが lấy り tráp うレイヤが dị なる.
Động tác
[Biên tập]IEEE 802.1Xを sử った chứng thực động tác は dưới の 3 đoạn giai からなる.
- Tiếp 続
- EAP ( Extended authentication protocol )による chứng thực
- Chứng thực xong rồi
Tiếp 続
[Biên tập]- Có tuyến LAN
- Có tuyến tiếp 続 の LANでは, 802.1Xに đối ứng したLANスイッチに đoan mạt であるパソコンが tiếp 続された khi điểm で chứng thực động tác を hành い, そ の đoan mạt にLANへ の tiếp 続を cho phép するかどうかを quyết める.
- Vô tuyến LAN
- Vô tuyến LANではアソシエーション sau に chứng thực động tác を hành い, そ の đoan mạt にLANへ の tiếp 続を cho phép するかどうかを quyết める.
![](https://upload.wikimedia.org/wikipedia/commons/1/1f/802.1X_wired_protocols.png)
EAPによる chứng thực
[Biên tập]EAPメッセージを chứng thựcLANスイッチを kinh từ して chứng thực サーバと gì độ かやりとりを giao わすことで, chứng thực を chịu ける. サプリカント の MACフレームは chứng thực LANスイッチによってRADIUSフレームに変 đổi されて chứng thực サーバへ đưa られ, nghịch に chứng thực サーバから phản tin されるRADIUSフレームは chứng thực LANスイッチによってMACフレームへ変 đổi されてサプリカントへ đưa られる. Chứng thực LANスイッチはサプリカントPCから の thông tín は chứng thực サーバへ の も の bên ngoài は chịu け phó けない.
Chứng thực xong rồi
[Biên tập]Chứng thực が xong rồi して, sơ めてサプリカントはネットワークに tự do に tiếp 続できるようになる. Chứng thực の chủng loại によっては chứng thực xong rồi khi に chứng thực サーバから chứng thực LANスイッチに ám hiệu kiện の tài liệu や tương ứng LAN の tình báo などが thông tri され, chứng thực LANスイッチからサプリカントにÁm hiệu kiệnが thông tri されることがある.
EAP
[Biên tập]802.1Xに sử dụng できるEAPはいくつかあるが, サプリカントと chứng thực サーバ の lạng phương が đối ứng している tất yếu がある.
- EAP-MD5
- EAP-MD5 ( EAP-Message digest algorithm 5 ) はIDとパスワードで chứng thực する phương thức. パスワードはチャレンジ&レスポンス phương thức で ám hiệu hóa されて truyền tin される. Vô tuyến LANでは an toàn ではない.
- EAP-TLS
- EAP-TLS ( EAP-Transport layer security ) はデジタル điện tử chứng minh thư を sử って chứng thực する phương thức. IDやパスワードは sử dụng されない.スマートカードやUSBキー (ドングル) と tổ み hợp わせて sử dụng されることが nhiều い. Vô tuyến LANでもほぼ an toàn.
- PEAP
- PEAP ( Protected EAP ) は mễマイクロソフトXã が khai phát したEAP quy cách でIDとパスワードで chứng thực する phương thức.SSL( Secure Sockets Layer ) と cùng じ ám hiệu hóa kỹ thuật によって chứng thực thông tín toàn thể が ám hiệu hóa されている. Ám hiệu hóa の ために chứng thực サーバにデジタル điện tử chứng minh thư が tất yếu. Vô tuyến LANでもほぼ an toàn.
- LEAP
- LEAP ( Lightweight EAP ) は mễシスコシステムズXã が khai phát したEAP chế phẩm.
- EAP-TTLS
- EAP-TTLS ( EAP-Tunneled transport layer security ) は mễ ファンク・ソフトウェア xã ( Funk Software ) が khai phát したEAP chế phẩm.
Tiếp 続 hoàn cảnh
[Biên tập]Trung 継 máy móc
[Biên tập]サプリカントPCと chứng thực LANスイッチは trực tiếp tiếp 続されることが tất yếu であるが, 仮に lạng giả の gian に đừng の ネットワーク máy móc が tồn tại した trường hợp の động tác を dưới に kỳ す.
- Thông thường の LANスイッチ
- サプリカントが truyền tin するEAPメッセージを hàm んだMACフレームは,マルチキャスト・アドレスで truyền tin されているために, thông thường の LANスイッチではセグメントPhần ngoài にある chứng thực LANスイッチへ転 đưa しない. こ の ため, chứng thực động tác が hành われず, サプリカントPCであるクライアントPCはネットワークに tiếp 続されない.
- リピータ・ハブ
- サプリカントが truyền tin するEAPメッセージを hàm んだMACフレームは,リピータ・ハブによって chứng thực LANスイッチへ転 đưa される. Chứng thực LANスイッチは đưa り tay sườn にリピータ・ハブが giới ở していることが phán らないため, chứng thực yêu cầu を chịu phó けて, chứng thực tiếp 続 の động tác を bắt đầu する. サプリカントPCが chứng thực を xong rồi してネットワークに tiếp 続された trường hợp に vấn đề となる の は, リピータ・ハブに tiếp 続された hắn の PCは, chứng thực を chịu けずにそ の ままネットワークに tiếp 続が khả năng となることである. Chứng thực LANスイッチ の chứng thực はポート単 vị で hành われているため, そ の 1つ の chứng thực tế みポートに tiếp 続されたリピーター・ハブ の xứng hạ の toàn て の PCがネットワークへ の tiếp 続を hứa されてしまう. ここまでがIEEE 802.1Xで quy định された động tác であるが, これではセキュリティが bảo đảm できないため, thật tế の chứng thực LANスイッチ chế phẩm の nhiều くでは,MACアドレス・フィルタ cơ năng と liền động させて, たとえリピーター・ハブを sử われても chứng thực されたPCをMACアドレスで nhận thức して, hắn の PCをネットワークに tiếp 続することはない.
プリンタ・IP điện thoại
[Biên tập]Nhiều く のネットワーク・プリンタと thiếu し cũ hình のIP điện thoạiはIEEE 802.1Xに phi đối ứng の ため, そ の ままではこれら の máy móc がネットワークに tiếp 続できなくなる. Đối chứng liệu pháp にLANスイッチ の MACアドレス・フィルタ cơ năng を sử ってこれら の máy móc をネットワークに tham gia させることができるが, LANスイッチ の ポートが cố định となるため giả thiết の tay gian がかかるだけでなく, MACアドレスを ngụy trang した bất chính tiếp 続に đối して đại きなセキュリティホールとなり đẩy thưởng できない. ネットワーク・プリンタ chờ の セキュリティ の bảo đảm できない đoan mạt máy móc だけ の ネットワークをVLANによって phân cách するなど の công phu が cầu められる.
OS
[Biên tập]Windows 2000SP4 lấy hàng, EAP-TLSとPEAPに đối ứng しており,Windows XPLấy hàng, EAP-MD5, EAP-TLS, PEAPにも đối ứng している.
macOSはサプリカント cơ năng を tiêu chuẩn で nội tàng している.
Chuẩn hoá
[Biên tập]Bổn quy cách は2001 năm に sơ bản が phát hành された. それ lấy hàng も thêm vào 拡 trương を kinh て sửa bản されており, 2023 năm hiện tại, dưới の bản がある.
- IEEE 802.1X-2001[1]:"Port-Based Network Access Control" として sơ bản リリース
- IEEE 802.1X-2004[2]:(タスクグループP802.1aa の phản ánh )
- IEEE 802.1X-2010[3]:MACsecĐối ứng (タスクグループP802.1af の phản ánh )
- IEEE 802.1X-2020[4]:( thượng nhớ Xbx, Xck の phản ánh )
Xuất xứ
[Biên tập]- “IEEE 802.1X の toàn cảnh” ngày kinh NETWORK 2004 năm 12 nguyệt hào p.82〜p.95
- ^IEEE 802.1X-20012023 năm 11 nguyệt 19 ngàyDuyệt lãm.
- ^IEEE 802.1X-20042023 năm 11 nguyệt 19 ngàyDuyệt lãm.
- ^IEEE 802.1X-20102023 năm 11 nguyệt 19 ngàyDuyệt lãm.
- ^IEEE 802.1X-20202023 năm 11 nguyệt 19 ngàyDuyệt lãm.
Quan liền hạng mục
[Biên tập]- RADIUS- chứng thực サーバ
- ハッシュ quan số
- Ám hiệu
- Điện tử ký tên
- Ám hiệu lý luận
- Wi-Fi Protected Access(WPA)